Tous Fichiers Clients ou Salariés doivent être déclarés à la CNIL
Vos établissements sont t-ils en règlent avec la législation. GE RH Expert vous rappelle ce point que bons nombres d’entre vous avez peut être zappé.
Formalités requises, procédure à suivre, identification de la déclaration à remplir, et sanctions encourues en l’absence de déclaration d’un fichier.
Par principe, tout fichier ou traitement informatique contenant des données personnelles doit faire l’objet d’une déclaration à la Commission nationale informatique et libertés (CNIL). Toutefois, les professionnels sont dispensés de formalités déclaratives lorsque les informations collectées ne portent pas attente à la vie privée ni aux libertés.
De plus, pour simplifier les démarches des entreprises, la Commission adopte régulièrement des normes simplifiées, permettant aux entreprises qui se conforment à ces règles, d’effectuer une déclaration simplifiée. Tel est le cas en matière de gestion des fichiers de clients et de prospects.
La norme contient les principales préconisations dégagées par la CNIL, en concertation avec les professionnels du marketing direct, pour l’envoi de sollicitations par courrier électronique ou par SMS et pour la commercialisation des fichiers d’adresses de courrier électronique.
Elle contient aussi des dispositions spécifiques dans le cadre de l’utilisation d’un service de communication au public en ligne, à savoir internet, en prévoyant le traitement des données de connexion et l’utilisation de “cookies”. Elle fixe les durées de conservation en matière de gestion de fichiers de clientèle et établit une distinction entre la durée de conservation des données relatives aux clients et celles relatives aux prospects. Enfin, elle subordonne la cession, la location ou l’échange de données pouvant se révéler sensibles (ex : fichier d’abonnés à des magazines politiques) au recueil du consentement exprès des personnes concernées.
En pratique les fichiers de clients, de prospects ou de salariés qui ne respectent pas le cadre fixé par la norme n°48 restent soumis à déclaration normale auprès de la CNIL. Tel est, par exemple, le cas des fichiers nécessitant la transmission de données en dehors de l’Union européenne ou de la gestion d’un programme de fidélisation commun à plusieurs sociétés.
Toutefois, le fait de disposer d’un correspondant informatique et libertés (CIL) parmi les membres du personnel (le plus souvent choisi parmi les services RH ou direction/ gestion), facilite les choses. L’entreprise peut s’exonérer en tout ou partie de certaines formalités préalables lui incombant.
Dans les autres cas, une déclaration, une autorisation ou une demande d’avis sont requises.
Attention, l’entreprise qui ne se conforme pas à ses obligations, encoure des sanctions :
5 ans d’emprisonnement et 300.000 euros d’amende : en cas de non-accomplissement des formalités auprès de la CNIL (article 226-16 du Code pénal) ;
5 ans d’emprisonnement et de 300.000 euros d’amende : si non-respect de l’obligation de sécurité (article 226-17 du Code pénal) ;
1.500 euros par infraction constatée (3.000 euros en cas de récidive) : en cas de refus ou l’entrave au bon exercice des droits des personnes (article 131-13 du Code pénal) ;
5 ans d’emprisonnement et de 300.000 euros d’amende : s’il y a communication d’informations à des personnes non-autorisées (article 226-22 du Code pénal) ;
3 ans d’emprisonnement et de 100.000 euros d’amende : pour des faits de divulgation d’informations par imprudence ou négligence (article 226-22 du Code pénal) ;
5 ans d’emprisonnement et de 300.000 euros d’amende : s’il y a conservation de données pour une durée supérieure à celle qui a été déclarée (article 226-20 du Code pénal) ;
5 ans d’emprisonnement et de 300.000 euros d’amende : en cas de détournement de la finalité du fichier (article 226-21 du Code pénal);
De plus, depuis un arrêt du 25 juin 2013 rendu par la Cour de cassation, un fichier non déclaré à la CNIL en violation des obligations incombant à l’entreprise, est considéré comme ayant un objet illicite, de sorte que n’étant pas dans le commerce, sa vente se trouve frappée de nullité, exonérant ainsi l’acheteur du paiement du prix lié à l’acquisition du fichier (Cass / Com. 25 juin 2013).
Qu’est ce qu’une donnée personnelle ?
” Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne “.
” La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement “.
Point de vue de la CNIL
Les données sont considérées “à caractère personnel” dès lors qu’elles concernent des personnes physiques identifiées directement ou indirectement.
Une personne est identifiée lorsque par exemple son nom apparaît dans un fichier.
Une personne est identifiable lorsqu’un fichier comporte des informations permettant indirectement son identification (ex. : adresse IP, nom, n° d’immatriculation, n° de téléphone, photographie, éléments biométriques tels que l’empreinte digitale, ADN, numéro d’Identification Nationale Étudiant (INE), ensemble d’informations permettant de discriminer une personne au sein d’une population (certains fichiers statistiques) tels que, par exemple, le lieu de résidence et profession et sexe et age,….).
Des données que vous pourriez considérer comme anonymes peuvent constituer des données à caractère personnel si elles permettent d’identifier indirectement ou par recoupement d’informations une personne précise. Il peut en effet s’agir d’informations qui ne sont pas associées au nom d’une personne mais qui permettent aisément de l’identifier et de connaître ses habitudes ou ses goûts.
En ce sens, constituent également des données à caractère personnel toutes les informations dont le recoupement permet d’identifier une personne précise. (ex. : une empreinte digitale, l’ADN, une date de naissance associée à une commune de résidence …).
Les technologies de l’information et de la communication génèrent de nombreuses données personnelles (un appel passé par un téléphone portable, une connexion à Internet) et aussi des “traces informatiques” facilement exploitables grâce aux progrès des logiciels, notamment les moteurs de recherche.
